api密钥如何安全地存储在移动应用程序中?

时间:2018-06-08 01:47:15

标签: api security ionic-framework api-key woocommerce-rest-api

我正在尝试使用woocommerce-api构建一个woocommerce前端移动应用程序(离子)。

我必须让api键能够读取和写入,以便人们可以下订单。

api密钥用于从商店(后端)获取任何数据,如产品图片,名称等......

如果某人掌握了api密钥,他可以为我的woocommerce商店做任何他想做的事情,擦除产品,添加产品或任何东西。

以下是我不理解的部分:

如果我将我的密钥存储在服务器上,并在用户使用我的应用程序时编写一个方法来检索它们,那么阻止任何人对我的应用程序进行逆向工程并使用相同的方法来检索我的api密钥然后继续做他们想做的事情?

示例1(存储在客户端的api)

1- hacker reads my source code.
2- hacker reads my api secret key.
3- hacker writes a fake app to mess with my store.

示例2(存储在服务器中的api)

1- hacker reads my source code.
2- hacker finds out my function "GetApiFromServer()"
3- hacker uses write a fake app with the same GetApiFromServer() function.
4- hacker messes with my store.

有什么区别?有什么我想念的吗?

0 个答案:

没有答案